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ROBERT BOSCH GMBH, 7 0442 Stuttgart 
Beschreibung 

Verfahren zum Beschreiben und Loschen eines nichtf l-uchtiaen 
STPeicherbereichs 

Die vorliegende Erfindung betrifft ein Verfahren zum 
Beschreiben und Loschen eines nichtf liichtigen 
Speicherbereichs , wobei zumindest ein oder mehrere 
Freigabemuster nach f ehlerf reiem Beschreiben des 
Speicherbereichs in vorgegebene Teilbereiche dieses 
Speicherbereichs geschrieben werden, sowie ein Steuergerat 
mit einer Speichereinrichtung mit einem solchen 
nichtf liichtigen Speicherbereich . 

Ein Verfahren zum Betreiben eines Steuergerates mit einer 
programmierbaren nichtf liichtigen Speichereinrichtung ist 
aus der DE 196 19 354 Al bekannt . Das dort beschrieloene 
Kraf tf ahrzeugsteuergerat verwendet eine elektrisch losch- 
und programmierbare nichtf luchtige Speichereinrichtiang , wie 
ein Flash-EPROM, zur Speicherung der 
Steuerf unktionsprogramme und -daten. Derartige 
Speichereinrichtungen haben den Vorteil einer hohen 
Speicherzellendichte und sind elektrisch zu loschen und 
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jederzeit umzuprogrammieren . Die anfangliche Prograramierung 
sowie die Umprogrammierung solcher Bausteine kann durch ein 
externes Programmiergerat (beispielsweise ein PC) 
vorgenommen werden. In der genannten Schrift wird 
vorgeschlagen, in bestimmte Teilbereiche eines zu 
beschreibenden Sektors der Speichereinrichtung sogenannte 
Selbststeuerdaten, insbesondere Anfangs- und Endemaocken, 
beim Beschreiben des Sektors einzuschreiben . Die 
Teilbereiche werden so gewahlt, daS zumindest ein 
Teilbereich durch einen beginnenden Loschvorgang erfaEt 
wird. Ein ordnungsgemafi beschriebener und danach nicht 
teilweise oder vollstandig geloschter Sektor weist dann 
unversehrte Anfangs- und Endemarken auf . Nur in einem 
solchen Fall wird das Steuergerat mit seiner 
programmierbaren Speichereinrichtung zur Steuerung des 
Kraf tf ahrzeugs in Betrieb genommen. 

Ein nicht fehlerfrei programmiertes 

Kraftfahrzeugsteuergerat oder ein Steuergerat, dessen 
Speichereinrichtung ganz oder teilweise wieder geloscht 
ist, kann auf das Fahrverhalten des zu steuernden 
Kraftfahrzeuges einen derart negativen EinfluS haben, dafi 
Sicherheitsrisiken eintreten konnen. 

Wie in oben genannter Schrift beschrieben, kann durch das 
Uberpriifen des Vorhandenseins von Freigabemuster (Anfangs - 
und Endemarken) eine Aussage dariiber getroffen werden, ob 
die mit den Steuerprogrammen und -daten beschriebene 
Speichereinrichtung in f unktionsf ahigem Zustand ist und 
deren Daten nicht wieder teilweise oder ganz geloschit 
wurden . 
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Es hat sich jedoch herausgestellt , daS insbesondere im 
Falle der Umprogrammierung' sowie der Loschung das bekannte 
Verfahren keine zuverlassige Aussage daruber treffen kann, 
Ob der jeweilige Vorgang vollstandig und korrekt ausgefiihrt 
worden ist. Spannungseinbriiche konnen zu einem Abbruch 
eines Programmier- oder Loschvorganges fiihren. 

Auf der einen Seite ist es moglich, dafi kurz vor korrektem 
Abschlug ein Abbruch derart erf olgt , dafi bereits alle 
Speicherzellen den gewiinschten Inhalt besitzen, einige der 
Zellen aber noch nicht ausreichend stabil programmiert 
wurden. Die in der DE 43 32 499 Al vorgeschlagene 
Uberprufung durch Berechnen " einer Checksumme iiber den 
Speicherbereich kann dies nicht detektieren, da hierdurch 
nur bereits ausgefallene Speicherzellen oder solche mit 
falschem Inhalt erkannt werden konnen. Hier kann das 
Einschreiben von Freigabemustern in bestimmte 
Speicherbereiche nach erf olgreicher stabiler Programmierung 
der Speicherzellen Abhilfe schaffen. Hat auf der anderen 
Seite beispielsweise der Loschvorgang zu dem Zeitpunkt 
begonnen, als der Abbruch erf olgt ist, ist es moglich, daS 
noch alle Speicherzellen ihren urspriinglichen Inhalt 
besitzen. Weder eine Uberprufung anhand von Freigabemustern 
noch eine Checksummenberechnung werden in diesem Fall einen 
Fehler detektieren. Der Baustein meldet nach erf olgt em 
Neustart keine Abnormal i tat . Trotzdem ist es moglicht, daJS 
die Ladungsinhalte einiger ' Zellen bereits soweit veorandert 
wurden, dag es mittelf ristig zu Ausfallen kommen kann. 

Aufgabe vorliegender Erfindung ist es, ein Verfahren zum 
Beschreiben und Loschen eines nichtf liicht igen, zu 
uberwachenden Speicherbereichs anzugeben, durch das sowohl 
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der AbschluS eines erf olgreichen Beschreibens des 
Speicherbereichs als auch ein angef orderter Loschvorgang 
zuverlassig festgestellt werden konnen. Weiterhin soli der 
sichere Betrieb eines Steuergerats mit einem 
5 nichtf liichtigen, zu iiberwachenden Speicherbereich 
sichergestellt werden. 

Diese Aufgabe wird erf indungsgemafi durch die Merkmale des 
Anspruchs 1 gelost, Vorteilhafte Ausgestaltungen ergeben 
10 sich aus den Unteranspriichen . Ein geeignetes Steuergerat 
ist in Anspruch 4 angegeben. 

Erf indungsgemaS wird neben dem Freigabemuster als weiteres 
Muster ein Ungiiltigkeitsmuster vorgesehen, das vor einem 
angef orderten Loschvorgang in einen Teilbereich des 
Speicherbereichs eingeschrieben wird. Das 

Ungiiltigkeitsmuster besitzt geeigneterweise eine andere 
Struktur als das Freigabemuster . und markiert den Anfang 
eines Loschvorgangs , wahrend das Freigabemuster das Ende 
eines fehlerfreien Programmier- und Speichervorgangs 
anzeigt. Somit ist es durch die Erfindung moglich, einen 
Loschvorgang nicht nur negativ durch Veranderung eines 
Freigabemusters zu detektieren, sondern positiv durch ein 
gesetztes Ungiiltigkeitsmuster. 
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Erf indungsgemaS werden bei einem nicht fliichtigen 
programmierbaren Speicher im zu iiberwachenden 
Speicherbereich mindestens drei unabhangig programmierbare 
Teilbereiche f reigehal ten . Nach AbschluS einer 
erf olgreichen Programmierung wird mindestens einer dieser 
Teilbereiche mit einem Freigabemuster gefiillt. Dieses 
Freigabemuster sollte nicht den Inhalten eines geloschten 
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.Bausteins im betreffenden Speicherbereich entsprechen. Vor 
einem angef orderten Loschvorgang werden in (mindestens) 
zwei weitere unabhangige Teilbereiche jeweils ein 
Ungiiltigkeitsmuster eingespeichert . Die beiden Teilbereiche 
fiir das Ungiiltigkeitsmuster umgeben hierbei samtliche 
Teilbereiche fiir Freigabemuster , d.h. ein 
Ungiiltigkeitsmuster liegt noch vor dam zuerst mit einem 
Freigabemuster beschriebenen Teilbereich und ein weiteres 
Ungiiltigkeitsmuster liegt hinter dem zuletzt mit einem 
Freigabemuster beschriebenen Teilbereich des 
Speicherbereichs. Auch das Ungiiltigkeitsmuster darf in 
keinem Fall dem Inhalt eines geloschten Bausteins 
entsprechen. 

Die erfindungsgemalSen Ungiiltigkeitsmuster markieren demnach 
den zum Loschen f reigegebenen Speicherbereich. Diese 
Markierung bleibt bei vorzeitigem Abbruch des 
Loschvorganges erhalten, so daS der betreffende Bereich als 
„ungiiltig" gekennzeichnet ist und ein anschlieSendeir 
Neustart durch Auslesen des Speicherbereichs selbst dann 
verhindert werden kann, wenn die vorhandenen Freigabemuster 
unversehrt geblieben sein sollten. 

Bei einer stochastischen Veranderung der 
Ladungstragerinhalte in den. Speicherzellen beim 
Loschvorgang kann es vorkommen, daS die Teilbereiche, 
welche eines der Muster enthalten, bereits vollstandig 
geloscht sind, wahrend andere noch nicht verandert wurden. 
Die Wahrscheinlichkeit, daS einige der Speicherzellen 
zwischen bereits geloschten Speicherzellen noch vollkommen 
unverandert sind, ist aufgrund der Bauart der zumeist 
verwendeten Speicher (wie Flash- EPROMs) extrem gering. 
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Die Programmierung der Muster wird allein von intern 
ablaufenden Routinen gesteuert . Diese Routinen besitzen 
eingebaute Priif verf ahren und Ablauf steuerungen, welche den 
Zeitpunkt fiir die Programmierung festlegen. Eine 
BeeinfluSung des Verfahrens oder eine Manipulation der 
Muster von augen, z. B. durch Anf orderungen eines 
Programmiergerats , sind ausgeschlossen . 

Die folgenden Aussagen uber den Inhalt des zu liberwachenden 
Speicherbereichs konnen beim Einsatz des erf indungsgemaSen 
Verfahrens getroffen werden: 

1) Wenn keine oder nicht alle Freigabemuster 
einprogrammiert wurden, ist der Inhalt des Speicherbereichs 
nicht notwendigerweise korrekt und die Programmierung 
sollte wiederholt werden. 

2) Wurden alle Freigabemuster einprogrammiert und sind 
alle Teilbereiche, welche fiir Ungiiltigkeitsmuster 
reserviert sind, noch geloscht, so ist der Inhalt des 
Speicherbereichs garantiert korrekt. 

3) Wenn mindestens Telle der Ungiiltigkeitsmuster in ' den 
dafiir vorgesehenen Teilbereichen stehen, ist der Inhalt des 
Speicherbereichs nicht notwendigerweise korrekt. Dies ist 
ein Hinweis darauf, daS ein Loschvorgang vorgesehen war 
Oder bereits begonnen hatte. Der Loschvorgang sollte dann 
wiederholt werden . 
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• Zusammenf assend laSt sich feststellen, da£ durch die 
Erfindung der Zustand des zu iiberwachenden Speicherbereichs 
zu jedem Zeitpunkt mi t- maximal er Wahrscheinlichkeit 
festgestellt werdenkann. Es werden keine zusatzlichen 
Speicher benotigt, urn die hierfiir notwendigen Inf ormationen 
abzulegen. Lediglich mindestens drei unabhangig 
programmierbare Teilbereiche mussen innerhalb des zu 
iiberwachenden Speicherbereichs definiert und reserviert 
werden. 

Im folgenden soli die Erfindung durch ein 
Ausfiihrungsbei spiel anhand der Figur naher erlautert 
werden. 

Die Figur zeigt einen zu iiberwachenden Speicherbereich SB 
m einem nicht f liicht igen, programmierbaren Speicher sowie 
die erf indungsgemaiSe Anordnung der Teilbereiche fiir 
Freigabemuster FM und Ungiiltigkeit smuster UM . 

Beim vorliegenden Ausf iihrungsbeispiel ist der zu 
iiberwachende Speicherbereich SB Bestandteil eines 
elektrisch losch- und programmierbaren nichtf liichtigen 
Speichers, in diesem Fall ein Flash-EPROM. Seiche Speicher 
finden in Kraf tf ahrzeugsteuergeraten haufig neben arrderen 
Arten von Speichern, wie Schreib-/Lesespeicher und KTur- 
Lese-Speicher Verwendung . Das Kraf t f ahrzeugsteuerger-at 
erhalt von verschiedenen am Fahrzeug angebrachten Sensoren 
Eingangssignale, die als Eingabeparameter fiir versch.iedene 
Steuerprogramme verwendet werden. Die 

Steuerfunktionsprogramme und Steuerf unktionsdaten sind in 
dem Flash-EPROM niedergelegt und lassen sich bei spa.ter 
entdeckten Fehlern oder bei individuellen Kundenwiins chen 
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entsprechend umprogrammieren . Das Kraft fahrzeugsteuergerat 
gibt an Aktuatoren Ausgangssignale ab, die das 
Steuerprograrnm berechnet und festlegt. 

Vor dem Beschreiben (Einschreiben eines Px-ogramms ) des 
Flash-EPROMs findet in der Regel eine Loschung des 
betreffenden Speicherbereichs statt . Beim anschliegenden 
Programmiervorgang kann an den Anfang des zu beschreibenden 
Bereichs zunachst ein erstes Freigabemuster FM in den dort 
reservierten Teilbereich geschrieben werden. AnschlieSend 
werden die Nutzdaten in den dafiir vorgesehenen 
Speicherbereich eingeschrieben, wobei nach Beendigung 
dieses Vorganges ein weiteres Freigabemuster an das Ende 
des beschriebenen Bereichs gesetzt , werden kann. Alternativ 
hierzu laJSt sich auch mit nur einem Freigabemuster 
arbeiten, das in einen Teilbereich des Speicherbereichs 
gesetzt wird, der in. jedem Fall gleich zu Beginn eines 
Loschvorganges von diesem erfaSt wird. Ein moglicher- 
Teilbereich fiir ein Freigabemuster FM ist in der Figur 
dargestellt. 

Nach erf olgreichem AbschluS des Beschreibens des Flash- 
EPROMs befinden sich im Speicherbereich SB die Nutzdaten 
sowie das oder die Freigabemuster^ FM in den hierfiir 
vorgesehenen Teilbereichen . Die Teilbereiche fiir die 
Ungultigkeitsmuster UM bleiben geloscht. Eine Routine 
iiberpriift diese Bedingungen vor Inbetriebnahme des 
Steuergerats und verhindert einen Neustart, wenn eine 
dieser Bedingungen nicht erfullt ist. 



Vor einem angef orderten Loschvorgang werden der erste und 
der letzte der reservierten Teilbereiche im Speicher-bereich 
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SM mit einem Ungiiltigkeitsmuster UM programmiert . Beim 
anschlieSend einsetzenden Loschvorgang werden sowohl die 
Nutzdaten wie auch die Freigabemuster und schlielSlich die 
Ungultigkeitsmuster geloscht . Die Wahrscheinlichkeit , dalS 
beide Ungultigkeitsmuster geloscht sind, aber 
dazwischenliegende Speichersellen noch vollkommen 
unverandert sind, ist bei der Bauart der iiblichen Flash- 
EPROMs. auSerst gering . Wenn demnach mindestens Telle der 
Ungultigkeitsmuster nach dem Loschvorgang in den dafur 
vorgesehenen Teilbereichen verblieben sein sollten, mulS 
davon ausgegangen werden, dafi der Loschvorgang nicht 
ordnungsgemafi zu Ende gefiihrt wurde . Die Loschung sollte 
deshalb wiederholt werden. 

Mit der Erfindung ist es auch moglich, einen unmittelbar 
nach Beginn abgebrochenen Loschvorgang zu detektieren, da 
in diesem Fall zumindest Telle des Ungiiltigkeit smusters in 
den hierfur vorgesehenen Teilbereichen bereits 
eingeschrieben sind. Da vor einem Neustart des Steuergerats 
der Speicherbereich des Flash-EPROMs auf das Vorhandensein 
der Ungultigkeitsmuster iiberpruft werden kann, ist es 
moglich, einen solchen angef orderten, aber vorzeitig 
abgebrochenen Loschvorgang zu detektieren und 
sicherheitshalber einen Neustart zu verhindern. Ohne die 
erf indungsgemaSen Ungultigkeitsmuster, d. h. nur anhiand der 
Freigabemuster und/oder der Checksummenberechnung, v^are die 
Ermittlung eines vorzeitig abgebrochenen Loschvorgartges 
nicht moglich. 

Auch bei einer Neuprogrammierung sollte der Speicher-bereich 
zunachst auf das Vorhandensein von Ungiiltigkeit smustern 
iiberpruft werden, deren Vorhandensein AufschluS dariiber 
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liefert, das ein vorangehener Loschvorgang nicht 
ordnungsgemaS zu Ende gef lihrt wurde . 

Die Erfindung macht es moglich, nicht nur ein 
ordnungsgemaSes Beschreiben sondern auch ein eingesetztes 
Loschen eines Speicherbereichs in einem nichtf liichtigeh 
Speicher durch die Kombination von Freigabe- und 
Ungiiltigkeitsmustern zu erkennen. Damit lalSt sich der 
jeweilige Zustand des zu uberwachenden Speicherbereichs 
hinreichend exakt bestimmen. Die Erfindung laSt sich leicht 
in vorhandene Systeme implementieren, da lediglich weitere 
Teilbereiche in dem vorhandenen Speicherbereich reserviert 
werden miissen, ohne daS der vorhandene Speicher 
unangemessen eingeschrankt Oder zusatzlicher Speicher 
benotigt wiirde . 
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18.05.00 

ROBERT BOSCH GMBH, 70442 Stuttgart 
Anspruche " ' 

1 . Verf ahren zum Beschreiben und Loschen eines 
nichtf liichtigen Speicherbereichs (SB) , wobei ein oder 
mehrere Freigabemuster (FM) nach f ehlerf reiem Beschr-eiben 
des Speicherbereichs (SB) in vorgegebene Teilbereichie 
dieses Speicherbereichs geschrieben werden, 
dadurch gekennzeichnet, 

daS weitere Teilbereiche , die die fur die Freigabemuister 
(FM) reservierten Teilbereiche umschlieEen, im 
Speicherbereich (SB) vorgesehen werden, und daS diese 
Teilbereiche vor einem Loschvorgang mit jeweils einem 
Ungultigkeitsmuster (UM) beschrieben werden. 

2. Verf ahren nach Anspruch 1, dadurch gekennzeichnet, dafi 
das Freigabemuster (FM) und das Ungultigkeitsmuster (UM) 
nicht den Inhalten geloschter Bausteine des 
Speicherbereichs (SB) ' entsprechen. 

3 . Verf ahren nach Anspruch 1 oder 2 , dadurch 
gekennzeichnet, daS vor einem Auslesen eines beschri_ebenen 
nichtf liichtigen Speicherbereichs (SB) die dafur 
reservierten Teilbereiche auf das Vorhandensein von 
Ungiiltigkeitsmustern (UM) uberpriift werden. 
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4. Steuergerat mit einer Speichereinrichtung mit einem 
nichtf luchtigen Speicherbereich (SB) zur Speicherung von 
Steuerfunktionsprogrammen und -daten, wobei im 
Speicherbereich ein oder mehrere Teilbereiche fur 
Freigabemuster (FM) vorgesehen sind, die im beschriebenen 
Speicherbereich die Teilbereiche belegen, dadurch 
gekermzeichnet, daS im Speicherbereich (SB) weitere 
Teilbereiche fur Ungultigkeitsmuster (UM) reserviert sind, 
die die Teilbereiche fur Freigabemuster (FM) umschlielSen . 
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18 .05.00 

ROBERT BOSCH GMBH, 70442 Stuttgart 

Verfa hren zum Beschreiben und Loschen eines nichtf Itichtiaen 
Speicherbereichs 

Zu s ammenf a s s ung 

Die Erfindung betrifft ein Verfahren zum Beschreiben und 
Loschen eines nichtf liichtigen Speicherbereichs (SB) wobei 
zumindest ein Freigabemuster (FM) nach fehlerfreiem • 
Beschreiben des Speicherbereichs in einen vorgegebenen 
Teilbereich desselben geschrieben wird. Urn abgebrochene 
Loschvorgange sicher ermitteln zu konnen, wird 
vorgeschlagen, in zwei weitere Teilbereiche des 
Speicherbereichs (SB) vor dem Loschvorgang 

Ungiiltigkeitsmuster (UM) einzuschreiben, wobei die hierfur 
vorgesehenen Teilbereiche diejenigen fur die FreigatDemuster 
reservierten Teilbereiche umschliessen . Das (teilweise) 
Vorhandensein von Ungiilt igkeitsmustern weist auf , einen 
nicht korrekt beendeten Loschvorgang hin. Die Erfindung 
lafit sich mit Vorteil in Steuergeraten mit nichtf luchtigen 
Speichern einsetzen. 



(Figur) 
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